ProHoster > blog > internetnieuws > Vrijgave van Suricata 6.0 inbraakdetectiesysteem

Vrijgave van Suricata 6.0 inbraakdetectiesysteem

Na een jaar van ontwikkeling is de organisatie OISF (Open Information Security Foundation) opgericht опубликовала vrijgave van een systeem voor detectie en preventie van netwerkinbraak Meerkat 6.0, dat hulpmiddelen biedt voor het inspecteren van verschillende soorten verkeer. In Suricata-configuraties is het mogelijk om te gebruiken databases met handtekeningen, ontwikkeld door het Snort-project, evenals sets regels Opkomende bedreigingen и Opkomende bedreigingen Pro. Projectbronnen worden verspreid gelicentieerd onder GPLv2.

Grote veranderingen:

  • Initiële ondersteuning voor HTTP/2.
  • Ondersteuning voor RFB- en MQTT-protocollen, inclusief de mogelijkheid om het protocol te definiëren en een logboek bij te houden.
  • Mogelijkheid tot loggen voor het DCERPC-protocol.
  • Aanzienlijke verbetering in de logboekprestaties via het EVE-subsysteem, dat gebeurtenisuitvoer in JSON-indeling levert. De versnelling werd bereikt dankzij het gebruik van een nieuwe JSON-voorraadbouwer geschreven in de Rust-taal.
  • De schaalbaarheid van het EVE-logsysteem is vergroot en de mogelijkheid om voor elke thread een afzonderlijk logbestand bij te houden is geïmplementeerd.
  • Mogelijkheid om voorwaarden te definiëren voor het resetten van informatie naar het logboek.
  • Mogelijkheid om MAC-adressen weer te geven in het EVE-logboek en de details van het DNS-logboek te vergroten.
  • Verbetering van de prestaties van de flow-engine.
  • Ondersteuning voor het identificeren van SSH-implementaties (HASSH).
  • Implementatie van de GENEVE-tunneldecoder.
  • De code voor verwerking is herschreven in de Rust-taal ASN.1, DCERPC en SSH. Rust ondersteunt ook nieuwe protocollen.
  • In de regeldefinitietaal is ondersteuning voor de parameter from_end toegevoegd aan het trefwoord byte_jump, en ondersteuning voor de parameter bitmask is toegevoegd aan byte_test. Het sleutelwoord pcrexform geïmplementeerd zodat reguliere expressies (pcre) kunnen worden gebruikt om een ​​subtekenreeks vast te leggen. URLdecode-conversie toegevoegd. Byte_math trefwoord toegevoegd.
  • Biedt de mogelijkheid om cbindgen te gebruiken om bindingen te genereren in de Rust- en C-talen.
  • Ondersteuning voor initiële plug-ins toegevoegd.

Kenmerken van Suricata:

  • Een uniform formaat gebruiken om scanresultaten weer te geven Verenigd2, ook gebruikt door het Snort-project, dat het gebruik van standaard analysehulpmiddelen mogelijk maakt, zoals boerenerf2. Mogelijkheid tot integratie met BASE-, Snorby-, Sguil- en SQueRT-producten. PCAP-uitvoerondersteuning;
  • Ondersteuning voor automatische detectie van protocollen (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, enz.), waardoor u alleen in regels kunt werken op protocoltype, zonder verwijzing naar het poortnummer (bijvoorbeeld HTTP blokkeren verkeer op een niet-standaard poort). Beschikbaarheid van decoders voor HTTP-, SSL-, TLS-, SMB-, SMB2-, DCERPC-, SMTP-, FTP- en SSH-protocollen;
  • Een krachtig HTTP-verkeersanalysesysteem dat een speciale HTP-bibliotheek gebruikt, gemaakt door de auteur van het Mod_Security-project, om HTTP-verkeer te parseren en te normaliseren. Er is een module beschikbaar voor het bijhouden van een gedetailleerd logboek van transit-HTTP-overdrachten; het logboek wordt in een standaardformaat opgeslagen
    Apache. Het ophalen en controleren van bestanden die via HTTP zijn verzonden, wordt ondersteund. Ondersteuning voor het parseren van gecomprimeerde inhoud. Mogelijkheid om te identificeren op basis van URI, Cookie, headers, user-agent, request/respons body;

  • Ondersteuning voor verschillende interfaces voor het onderscheppen van verkeer, waaronder NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING. Het is mogelijk om reeds opgeslagen bestanden in PCAP-formaat te analyseren;
  • Hoge prestaties, mogelijkheid om stromen tot 10 gigabit/sec te verwerken op conventionele apparatuur.
  • Hoogwaardig maskermatchingsmechanisme voor grote sets IP-adressen. Ondersteuning voor het selecteren van inhoud op basis van maskers en reguliere expressies. Bestanden isoleren van verkeer, inclusief hun identificatie op naam, type of MD5-checksum.
  • Mogelijkheid om variabelen in regels te gebruiken: u kunt informatie uit een stream opslaan en deze later in andere regels gebruiken;
  • Gebruik van het YAML-formaat in configuratiebestanden, waardoor u de duidelijkheid behoudt en toch eenvoudig machinaal kunt verwerken;
  • Volledige IPv6-ondersteuning;
  • Ingebouwde engine voor automatische defragmentatie en opnieuw samenstellen van pakketten, waardoor correcte verwerking van stromen mogelijk is, ongeacht de volgorde waarin pakketten aankomen;
  • Ondersteuning voor tunnelingprotocollen: Teredo, IP-IP, IP6-IP4, IP4-IP6, GRE;
  • Ondersteuning voor pakketdecodering: IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN;
  • Modus voor het loggen van sleutels en certificaten die verschijnen binnen TLS/SSL-verbindingen;
  • De mogelijkheid om scripts in Lua te schrijven om geavanceerde analyses te bieden en aanvullende mogelijkheden te implementeren die nodig zijn om soorten verkeer te identificeren waarvoor standaardregels niet voldoende zijn.

Bron: opennet.ru

Voeg een reactie